安全移除 Composer 包需先查代码中 use/new/静态调用、配置文件字符串引用及间接依赖;再清理服务注册、autoload 映射;最后覆盖 HTTP、队列、命令等运行时场景验证。
确认包是否被项目直接引用
直接删 composer.json 里的依赖项或运行 composer remove vendor/package 前,先查它是否还在代码里被 use、new 或静态调用。很多“安全移除”失败,是因为 IDE 没索引全、或用了字符串类名、反射、配置文件动态加载——这些都不会被静态分析捕获。
- 用
grep -r 'Vendor\\Package' . --include="*.php"扫描全项目(注意命名空间斜杠转义) - 检查
config/、resources/下 YAML/PHP 配置,看是否有该包的 service ID 或类名字符串 - 运行
composer why vendor/package看是否被其他依赖间接依赖;若输出非空,说明删它会导致依赖树断裂
区分 require 和 require-dev 的删除方式
开发依赖(如 phpunit、larastan)可直接 composer remove --dev vendor/package;但生产依赖必须更谨慎——哪怕你认为没在用,也可能是框架底层通过插件机制加载的。
- 删
require-dev后,执行composer install --no-dev验证生产环境能否正常autoload - 删
require后,务必清空vendor/autoload.php缓存(如有),并运行composer dump-autoload -o重建优化后的自动加载映射 - 若项目用了 Composer 插件(如
ocramius/package-versions),删它前先确认没有其他包依赖其版本信息 API
处理移除后残留的自动加载与配置
Composer 移除包时不会自动清理 config/packages/xxx.php(Symfony)、app/Providers/XXXServiceProvider.php(Laravel)或 bootstrap/app.php 中的手动注册逻辑。这些残留会导致运行时报 Class not found 或服务启动失败。
- 搜索
ServiceProvider、register、bind、load等关键词定位注册点 - 检查
composer.json的autoload/autoload-dev字段,删掉已不存在的psr-4映射路径(否则composer dump-autoload会报 warning) - 运行
composer show --tree确认该包及其子依赖已完全从锁文件中消失
验证移除是否真正安全
光跑 php artisan test 或 ./vendor/bin/phpunit 不够——有些包只在特定 HTTP 请求路径、队列任务或 Artisan 命令中触发。真实验证要覆盖运行时上下文。
- 启动开发服务器(
php artisan serve或symfony server:start),手动访问高频接口和管理后台页面 - 触发一次队列消费(
php artisan queue:work --once)和定时任务(php artisan schedule:run) - 检查日志:运行
tail -f storage/logs/laravel.log或var/log/dev.log,留意Class 'X' not found、Call to undefined method类错误 - 若项目有前端构建步骤(如 Laravel Mix),确认
npm run dev仍能成功,因为某些 PHP 包可能通过 Blade 指令或内联 JS 注入前端逻辑
